利用frp工具实现内网穿透、随时随地访问内网服务

简介: frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。

前言

之前分享过一次《ZeroTier实现内网穿透、异地组网》,其基本工作原理是组建一个虚拟局域网,各个设备(NAS、Linux、Windows、Mac、iOS、Android)安装了客户端、加入到这个虚拟局域网后,就会自动分配一个IP,从而实现局域网内各个设备及服务的相互访问。

而今天要介绍的内网穿透工具是frp,与ZeroTier不同的是,frp无需在各个终端设备上安装客户端,只需要在具有公网 IP 的节点上部署 frp 服务端,即可轻松地将内网服务穿透到公网,从而实现随时随地访问内网服务。

一、frp简介

1.frp是什么

frp 是一个专注于内网穿透的高性能的反向代理应用,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网 IP 节点的中转暴露到公网。

项目地址:https://github.com/fatedier/frp/releases

中文文档:https://gofrp.org/docs/overview/

2.为什么使用 frp ?

通过在具有公网 IP 的节点上部署 frp 服务端,可以轻松地将内网服务穿透到公网,同时提供诸多专业的功能特性,这包括:

  • 客户端服务端通信支持 TCP、KCP 以及 Websocket 等多种协议。
  • 采用 TCP 连接流式复用,在单个连接间承载更多请求,节省连接建立时间。
  • 代理组间的负载均衡。
  • 端口复用,多个服务通过同一个服务端端口暴露。
  • 多个原生支持的客户端插件(静态文件查看,HTTP、SOCK5 代理等),便于独立使用 frp 客户端完成某些工作。
  • 高度扩展性的服务端插件系统,方便结合自身需求进行功能扩展。
  • 服务端和客户端 UI 页面。

3.基本原理

基本工作原理如上图所示:

  • 在带有公网ip的云服务器上部署frp的服务端frps;
  • 在需要穿透的内网服务器上部署frp的客户端frpc;
  • 每个客户端都会有一个配置文件用于和服务器连接,不同的内网服务配置不同的端口号,例如内网服务器A上安装了jira服务,其端口是8080,内网服务器B上安装了Gitlab服务,其端口号是8081;
  • 用户通过访问公网ip+端口号,公网服务器此时就相当于代理服务器,上面部署的frps服务端会根据端口号,自动转发到对应的内网服务器上,从而访问到内网服务;

二、前置环境准备

服务端和客户端使用的都是同一份文件,只是配置文件和启动文件不同。因此只需要下载一份文件,将其上传到各个服务器即可。

1.下载解压

下载地址:

https://github.com/fatedier/frp/releases

解压:

tar -xvf frp_0.44.0_linux_amd64.tar.gz  # 解压缩mv frp_0.44.0_linux_amd64 frp  # 重命名文件夹为frp

2.目录解读

  • frpc:客户端可执行程序
  • frpc_full.ini:客户端所有配置项(可以在此文件查看frp的所有的配置项)
  • frpc.ini:客户端配置项
  • frps:服务端可执行程序
  • frps_full.ini:服务端所有配置项(可以在此文件查看frp的所有的配置项)
  • frps.ini:服务端配置项
  • LICENSE:许可证

三、服务端配置

服务端需部署在带有公网ip的服务器上,最好是云服务器。frp对于云服务器的配置要求不高,类似2C2G的入门级云服务器即可。而且目前各大厂商都在搞活动,入门级云服务器一年才50元左右。

1.配置服务端

为避免误操作,可以删除客户端相关的文件及配置

rm-fr frpc*  # 删除所有客户端相关的文件及配置cp frpc.ini frpc.ini.bak  # 备份原始配置文件

编辑配置文件:frps.ini

[common]
# frp监听的端口,默认是7000,可以改成其他的bind_port =7000# 授权码,请改成更复杂的,这个token之后在客户端会用到token = e10adc3949ba59abbe56e057f20f883e
# 开启HTTP#vhost_http_port = 8088# 去除TCP速度限制tcp_mux =false# frp管理后台端口,请按自己需求更改dashboard_port =7500# frp管理后台用户名和密码,请改成自己的dashboard_user = admin
dashboard_pwd = admin123456
enable_prometheus =true# frp日志配置log_file = /home/frp/frp/frps.log
log_level = info
log_max_days =3
./frps -c frps.ini  # 启动服务端

2.开通安全组

若公网服务器是在阿里云、百度云等云服务器上的,则需要在安全组中为frp开通指定的端口号,如:7000是frp服务默认端口号、7500是在frps.ini配置文件中指定的dashboard_port、其他的则是需要映射到内网服务器的端口

3.访问dashboard

访问地址:http://180.xxx.xxx.xxx:7500

账号密码:admin、admin123456(对应配置文件中的dashboard_user与dashboard_pwd)

4.将frps添加为本地服务(可选)

也可以将frps添加为本地服务,具体步骤如下:

① 服务端新建文件:frps.service

内容如下:

[Unit]
Description=frps serviceAfter=network.target syslog.target
Wants=network.target
[Service]
Type=simple
ExecStart=/home/frp/frp/frps -c /home/frp/frp/frps.ini
[Install]
WantedBy=multi-user.target

② 创建配置文件目录并复制文件

mkdir-p /etc/frp
cp frps.ini /etc/frp/
cp frps /usr/bin/
cp frps.service /usr/lib/systemd/system/

③ 配置自并启动客户端服务

systemctl enable frps  # 允许自启动# 执行成功会提示“Created symlink /etc/systemd/system/multi-user.target.wants/frps.service → /usr/lib/systemd/system/frps.service.”systemctl start frps  # 启动客户端服务

若更改了frps.service,则需使用“systemctl daemon-reload”命令重新加载配置。

三、客户端配置

1.配置客户端

编辑客户端配置文件frpc.ini

[common]
server_addr =180.xxx.xxx.xxx  # 服务端所在的公网ip地址server_port =7000# 服务端默认端口号,与服务端配置文件保持一致token = e10adc3949ba59abbe56e057f20f883e
# 去掉速度限制tcp_mux =false[jira]
type = tcp # 注意:这个地方一律填写tcplocal_ip =192.168.1.211  # jira所在内网服务器的ip地址local_port =8088# 本地访问端口号remote_port =8088# 映射到云服务器的端口号[gitlab]
type = tcp # 注意:这个地方一律填写tcplocal_ip =192.168.1.211  # gitlab所在内网服务器的ip地址local_port =8081# 本地访问端口号remote_port =8081# 映射到云服务器的端口号

2.启动客户端

./frpc -c frpc.ini # 启动客户端

3.云服务器安全组添加端口号

安全组中添加remote_port端口号

4.访问HTTP服务

此时则可以通过公网IP+内网端口访问指定服务,如下图所示,访问的是内网服务器的jira服务。

5.查看dashboard连接记录

客户端启动成功,通过代理访问后,可以看到dashboard的Proxies-TCP中记录了连接信息:

6.将frpc服务加为本地服务(可选)

① 客户端新建文件:frpc.service

内容如下:

[Unit]
Description=frpc serviceAfter=network.target syslog.target
Wants=network.target
[Service]
Type=simple
ExecStart=/home/frp/frpc -c /home/frp/frpc.ini
[Install]
WantedBy=multi-user.target

② 创建配置文件目录并复制文件

mkdir-p /etc/frp
cp frpc.ini /etc/frp/
cp frpc /usr/bin/
cp frpc.service /usr/lib/systemd/system/

③ 配置自并启动客户端服务

systemctl enable frpc  # 允许自启动# 执行成功会提示“Created symlink from /etc/systemd/system/multi-user.target.wants/frpc.service to /usr/lib/systemd/system/frpc.service.”systemctl start frpc  # 启动客户端服务

若更改了frps.service,则需使用“systemctl daemon-reload”命令重新加载配置。

四、常见问题及解决

1.客户端配置http转发启动服务报错

若在客户端配置文件中配置了http转发,启动客户端服务时发生如下报错:

【原因】:服务端配置文件frps.ini中未配置vhost_http_port

【解决办法】:

① 服务端配置文件frps.ini的[common]中添加vhost_http_port

[common]
# frp监听的端口,默认是7000,可以改成其他的bind_port =7000# 授权码,请改成更复杂的,这个token之后在客户端会用到token = e10adc3949ba59abbe56e057f20f883e
# 开启HTTPvhost_http_port =8088

② 客户端配置文件frpc.ini中添加custom_domains

[web]
type = http
local_ip =192.168.1.211  # 内网本机iplocal_port =8088# 本地服务端口号remote_port =8088# 映射到的公网服务器端口号custom_domains = 服务端所在的公网ip

③ 配置后重新启动客户端服务

./frpc -c frpc.ini

注意事项:

1、若要直接在客户端配置文件中配置http代理,则服务端配置文件frps.ini中必须配置vhost_http_port;

2、若在客户端配置文件中配置http代理:type = http,则必须在底部带上custom_domains=xxx.xxx.xx.xx;

2.配置代理多HTTP

上述问题1的配置方法,似乎只能代理访问一个端口的http,即使客户端配置文件frpc.ini中指定了多个type=http的 [web] 项,但因为服务端配置文件frps.ini中只能指定一个vhost_http_port=xxx,所以此方法最终还是只能代理访问一个http的服务,即vhost_http_port端口号对应的那个http。

【解决方法】:

参考:

服务端配置文件frps.ini中不需要配置vhost_http_port,直接在客户端配置文件frpc.ini中配置多个 [web] 项,即要代理的HTTP即可,其中type=tcp,也不用指定custom_domains。配置示例如下:

[common]
server_addr =180.xx.xx.xx
server_port =7000token = e10adc3949ba59abbe56e057f20f883e
# 去掉速度限制tcp_mux =false[jira]
type = tcp
local_ip =192.168.1.211
local_port =8088remote_port =8088[gitlab]
type = tcp
local_ip =192.168.1.211
local_port =8081remote_port =8081

小结

以上就是利用frp实现内网穿透的全过程,相比于之前介绍过的zerotier,frp无需在各个访问端上安装客户端,只需在公网服务器上安装服务端,在需要被代理转发的内网服务器上安装客户端,并配置好各个服务的端口号,其他所有用户即可在手机、PC、平板上随时随地访问内网服务。

另外,网络安全同样需要关注。由于内网穿透服务带有一定风险,因此无论是公网服务器还是内网服务器,最好都开启防火墙,用到哪个端口再放开哪个端口,服务器的密码最好也设置得复杂一些。

相关实践学习
2分钟自动化部署人生模拟器
本场景将带你借助云效流水线Flow实现人生模拟器小游戏的自动化部署
7天玩转云服务器
云服务器ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,可降低 IT 成本,提升运维效率。本课程手把手带你了解ECS、掌握基本操作、动手实操快照管理、镜像管理等。了解产品详情: https://www.aliyun.com/product/ecs
相关文章
|
6月前
|
网络协议 关系型数据库 MySQL
如何实现无公网ip远程访问本地安卓Termux部署的MySQL数据库【内网穿透】
如何实现无公网ip远程访问本地安卓Termux部署的MySQL数据库【内网穿透】
|
Linux 网络安全 开发工具
校外网络连接校园网内的linux服务器方法(使用frp实现内网穿透)
平常在校园里连接校内实验室的linux服务器可以直接使用ssh直接链接私有ip地址,一旦本地移动到了校园网外部(如:使用手机流量wifi,或着暑假回家使用家庭wifi)便无法在使用ssh连接校内的服务器。本文提供一个实现校外也能访问校内服务器的方法
4434 0
校外网络连接校园网内的linux服务器方法(使用frp实现内网穿透)
|
1月前
|
Linux 文件存储 开发工具
贝锐花生壳内网穿透:无需公网IP,远程访问自建WebDAV文件共享!
WebDAV共享协议支持几乎所有系统和设备,极大方便了文件共享。群晖NAS等设备可通过安装WebDAV套件实现文件共享,结合花生壳内网穿透服务,只需三步即可实现远程访问。具体步骤包括:1. 安装花生壳客户端;2. 登录并配置映射;3. 创建映射,生成远程访问地址。这样,用户可以随时随地访问和管理文件资源。
46 3
|
2月前
|
文件存储 数据安全/隐私保护 Docker
搭建Jellyfin、Plex、Emby媒体服务,贝锐花生壳轻松内网穿透远程访问
Jellyfin、Plex 和 Emby 是流行的媒体服务方案,可在品牌 NAS 或自建 NAS 上组织、串流和管理多媒体藏品。利用集成的 Docker 或应用管理面板,可一键快速安装这些服务。贝锐花生壳提供无需公网 IP 的远程访问解决方案,支持 Docker 安装,轻松实现内网穿透,让用户随时随地访问媒体库。
104 0
|
6月前
|
网络协议 安全 文件存储
Potplayer通过公网访问群晖WebDav,快速搭建远程办公环境
Potplayer通过公网访问群晖WebDav,快速搭建远程办公环境
141 0
Potplayer通过公网访问群晖WebDav,快速搭建远程办公环境
|
6月前
|
网络协议 安全 测试技术
Windows安装禅道系统结合Cpolar实现公网访问内网BUG管理服务
Windows安装禅道系统结合Cpolar实现公网访问内网BUG管理服务
|
6月前
|
关系型数据库 MySQL Apache
如何部署WampServer并结合cpolar内网穿透工具实现公网访问本地服务?
如何部署WampServer并结合cpolar内网穿透工具实现公网访问本地服务?
|
6月前
|
关系型数据库 MySQL PHP
如何在Win系统部署Wnmp服务实现远程访问内网本地服务
如何在Win系统部署Wnmp服务实现远程访问内网本地服务
95 1
|
6月前
|
网络协议 Linux 数据安全/隐私保护
本地电脑搭建SFTP服务器,并实现公网访问
本地电脑搭建SFTP服务器,并实现公网访问
359 0
|
网络协议 安全 测试技术
实现远程访问内网BUG管理系统的方法:使用Cpolar内网穿透技术
实现远程访问内网BUG管理系统的方法:使用Cpolar内网穿透技术
下一篇
无影云桌面